Datenschutz in der Praxis
Compliance · 6 min
📋 Überblick
DSGVO in der Praxis umsetzen: Technische Maßnahmen (TLS, Verschlüsselung, Zugriffskontrollen), organisatorische Maßnahmen (DSB, Schulungen, AVV) und konkrete Checklisten. Mit Code-Beispielen für TLS-Konfiguration und einer vollständigen AVV-Prüfliste.
Wie setzt man DSGVO in der Praxis um? Konkrete Maßnahmen und Checklisten.
Diagramm wird geladen...
Technische Maßnahmen
- Verschlüsselung (TLS, At-Rest)
- Zugriffskontrollen
- Logging und Monitoring
- Regelmäßige Updates
- Penetrationstests
Technische Maßnahmen: Code-Beispiele
# TLS-Konfiguration in Nginx
server {
listen 443 ssl http2;
ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/private/server.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
}
# Datenbank-Verschlüsselung (PostgreSQL)
# postgresql.conf
ssl = on
ssl_cert_file = '/etc/ssl/certs/ssl-cert.crt'
ssl_key_file = '/etc/ssl/private/ssl-cert.key'
# At-Rest Verschlüsselung (LUKS)
# /etc/crypttab
data UUID=xxx none luksOrganisatorische Maßnahmen
- Datenschutzbeauftragter (falls nötig)
- Mitarbeiter-Schulungen
- Verarbeitungsverzeichnis (Art. 30)
- Auftragsverarbeitungsverträge
- Löschkonzept
Wichtige Quellen
- GLACIS: EU AI Act Compliance Guide 2026
Umfassender Compliance-Leitfaden (Dez 2025).
- LittleData: EU AI Act Compliance Checklist
7-Schritte-Checkliste für Unternehmen.
- Digital Applied: EU AI Act Compliance Guide
Business-orientierter Leitfaden mit Checklisten.
DSGVO-spezifisch
- Art. 5 - Grundsätze
- Art. 6 - Rechtsgrundlagen
- Art. 13/14 - Informationspflichten
- Art. 15-22 - Betroffenenrechte
- Art. 30 - Verarbeitungsverzeichnis
- Art. 32 - Technische Maßnahmen
AVV Checkliste
# Auftragsverarbeitungsvertrag (AVV) Prüfliste
## ✓ Pflichtinhalte (Art. 28 DSGVO)
[ ] Gegenstand und Dauer der Verarbeitung
[ ] Art und Zweck der Verarbeitung
[ ] Kategorien betroffener Personen
[ ] Art der personenbezogenen Daten
## ✓ Weisungsrechte
[ ] Weisungen nur schriftlich
[ ] Unterweisung dokumentieren
[ ] Weisungsprotokoll führen
## ✓ Sicherheitsmaßnahmen
[ ] Technische Maßnahmen (Art. 32)
[ ] Organisatorische Maßnahmen
[ ] Vertraulichkeitsverpflichtung Mitarbeiter
## ✓ Subunternehmer
[ ] Genehmigung für Subunternehmer
[ ] Subunternehmer müssen gleiche Standards erfüllen
[ ] Liste der genehmigten Subunternehmer
## ✓ Unterstützung bei Betroffenenrechten
[ ] Auskunftserteilung
[ ] Löschung/Richtigkeit
[ ] Datenportabilität
## ✓ Melde- und Mitteilungspflichten
[ ] Datenschutzverletzungen innerhalb 72h
[ ] Protokollierung von Vorfällen
## ✓ Auditrechte
[ ] Vor-Ort-Audits möglich
[ ] Fragebogen-Audits akzeptiert
[ ] Zertifizierungen als NachweisCheckliste
- [] Verarbeitungsverzeichnis geführt?
- [] Datenschutzerklärung verfügbar?
- [] AVV mit Dienstleistern?
- [] Löschkonzept dokumentiert?
- [] Technische Maßnahmen implementiert?
- [] Mitarbeiter geschult?
Quellen
- DSGVO Volltext (EUR-Lex) — Datenschutz-Grundverordnung
- GLACIS: EU AI Act Compliance Guide 2026 — Umfassender Compliance-Leitfaden
- LittleData: EU AI Act Compliance Checklist — 7-Schritte-Checkliste
- Österreichische Datenschutzbehörde — DSGVO-Durchsetzung in Österreich
Weiterfuehrende Artikel: DPIA fuer KI-Systeme · DSGVO Grundlagen · Verschluesselung
Fuer die Umsetzung gibt es Ressourcen auf ai-engineering.at.
War dieser Artikel hilfreich?
Nächster Schritt: Compliance in den Betrieb bringen
Nutze fertige DSGVO-Templates, Checklisten und Praxis-Guides für AI-Systeme, die dokumentiert und auditierbar sein müssen.
Warum AI Engineering
- Lokal und self-hosted gedacht
- Dokumentiert und auditierbar
- Aus eigener Runtime entwickelt
- Made in Austria
Kein Ersatz für Rechtsberatung.